5月22日消息，PHPCMS官網(wǎng)今天發(fā)布V9.3.3正式版及升級(jí)補(bǔ)丁探討，修復(fù)了由360網(wǎng)站安全“庫帶計(jì)劃”和WooYun報(bào)告的安全漏洞不負眾望，并對(duì)360和WooYun提供信息反饋表示公開致謝。

　　PHPCMS是國(guó)內(nèi)知名的CMS建站系統(tǒng)PHPCMS批量刪除關(guān)鍵詞調解製度，擁有包括地方門戶精準調控、政府網(wǎng)站、教育網(wǎng)創新內容、企業(yè)官網(wǎng)等在內(nèi)的大量網(wǎng)站用戶機遇與挑戰。據(jù)360網(wǎng)站安全檢測(cè)平臺(tái)透露廣泛關註，360“庫帶計(jì)劃”近期收集到技術(shù)高手“合肥濱湖虎子”提交的PPHCMS V9寬字節(jié)注入漏洞善於監督，驗(yàn)證后第一時(shí)間聯(lián)系了PHPCMS官方，同時(shí)發(fā)送告警郵件提醒360網(wǎng)站安全產(chǎn)品用戶就能壓製，為廣大站長(zhǎng)第一時(shí)間提供漏洞防護(hù)措施更合理。

　　360網(wǎng)站安全協(xié)助PHPCMS修復(fù)高危漏洞

　　圖：PHPCMS官網(wǎng)發(fā)布的漏洞報(bào)告致謝

　　360網(wǎng)站安全工程師介紹說，此次PHPCMS漏洞影響的版本為 V9 gbk版本(PHP版本限于5.4.0以下)更優美。黑客可利用該漏洞取得網(wǎng)站管理員權(quán)限各方面，從而實(shí)現(xiàn)對(duì)網(wǎng)站的拖庫、掛馬成效與經驗、篡改等侵害適應性。建議相關(guān)網(wǎng)站盡快更新PHPCMS官方發(fā)布的補(bǔ)丁，也可以加入360網(wǎng)站衛(wèi)士防護(hù)稍有不慎，就能避免漏洞被黑客攻擊利用重要作用。

　　據(jù)了解，360公司目前有兩款免費(fèi)的網(wǎng)站安全產(chǎn)品最為顯著，分別是360網(wǎng)站安全檢測(cè)(webscan.#)和360網(wǎng)站衛(wèi)士(wangzhan.#)尤為突出。前者為網(wǎng)站提供免費(fèi)安全體檢服務(wù)，后者為網(wǎng)站提供免費(fèi)的安全防護(hù)和網(wǎng)站加速服務(wù)自行開發。

　　360“庫帶計(jì)劃”則是由360公司于今年3月底啟動(dòng)的開源系統(tǒng)漏洞懸賞項(xiàng)目進行部署，目前已經(jīng)受到眾多安全技術(shù)高手的支持，從而協(xié)助ShopEx應用情況、Discuz!等十余個(gè)知名建站系統(tǒng)修復(fù)漏洞保護好，保護(hù)百萬級(jí)網(wǎng)站降低了被黑客攻擊的風(fēng)險(xiǎn)。

　　PHPCMSV9任意文件讀取漏洞威脅網(wǎng)站安全

　　近日表現，烏云平臺(tái)曝出國(guó)內(nèi)知名網(wǎng)站內(nèi)容管理系統(tǒng)PHPCMS V9存在多個(gè)漏洞系列，其中以“任意文件讀取”漏洞危害最大，(地址：http://wooyun.org/bugs/wooyun-2010-09463 )PHPCMS批量添加欄目，攻擊者利用此漏洞可以盜取網(wǎng)站源代碼慢體驗。據(jù)360網(wǎng)站安全檢測(cè)數(shù)據(jù)顯示PHPCMS批量刪除關(guān)鍵詞著力增加，全國(guó)約5萬家網(wǎng)站存在此漏洞，80%左右使用PHPCMS的網(wǎng)站受該漏洞影響科技實力。

　　360網(wǎng)站安全檢測(cè)平臺(tái)服務(wù)網(wǎng)址：http://webscan.#

　　據(jù)了解處理，PHPCMS V9是國(guó)內(nèi)著名的PHP框架網(wǎng)站管理系統(tǒng)，被眾多的政府機(jī)構(gòu)在此基礎上、教育機(jī)構(gòu)助力各行、事業(yè)單位、商業(yè)企業(yè)以及個(gè)人站長(zhǎng)所使用自主研發。經(jīng)360安全專家確認(rèn)確定性，此次導(dǎo)致此次漏洞的文件位于/phpcms/modules/search/index.php。

　　▲圖：開發(fā)者在編寫代碼時(shí)損耗，對(duì)傳入?yún)?shù)未做任何處理造成漏洞

　　360網(wǎng)站安全檢測(cè)平臺(tái)分析認(rèn)為講故事，造成該高危漏洞的原因在于，地址獲取代碼對(duì)傳入的參數(shù)未做任何處理性能穩定，“一旦攻擊者構(gòu)造一個(gè)偽裝的字符串全面革新，就可以讀取站點(diǎn)根目錄下的index.php文件內(nèi)容，進(jìn)而讀取服務(wù)器任意文件情況正常，包括存儲(chǔ)密碼的核心文件行業分類，甚至盜取服務(wù)器源代碼。”

　　目前PHPCMS批量上傳內(nèi)容提高鍛煉，PHPCMS V9官方已于7月16日推出升級(jí)補(bǔ)丁發展邏輯，但由于所以上漏洞細(xì)節(jié)已經(jīng)向公眾公開，大量未打補(bǔ)丁的網(wǎng)站仍存在源代碼泄露的威脅有所提升。對(duì)此PHPCMS批量更新文章 為產業發展，360網(wǎng)站安全檢測(cè)平臺(tái)在第一時(shí)間向旗下用戶發(fā)送了告警郵件，建議網(wǎng)站管理員及站長(zhǎng)及時(shí)升級(jí)PHPCMS V9至官方最新版本認為，并定期使用360安全檢測(cè)服務(wù)服務好，掌握網(wǎng)站安全情況并及時(shí)修補(bǔ)漏洞。

　　PHPCMS V9升級(jí)補(bǔ)丁地址：http://bbs.phpcms.cn/thread-621649-1-1.html

　　360網(wǎng)站安全服務(wù)

　　360為站長(zhǎng)提供免費(fèi)的網(wǎng)站安全解決方案反應能力，包括360網(wǎng)站安全檢測(cè)平臺(tái)和360網(wǎng)站衛(wèi)士共謀發展。其中，360網(wǎng)站安全檢測(cè)平臺(tái)是國(guó)內(nèi)首個(gè)集網(wǎng)站漏洞檢測(cè)結構重塑、網(wǎng)站掛馬監(jiān)控聽得懂、網(wǎng)站篡改監(jiān)控于一體的免費(fèi)檢測(cè)平臺(tái)，擁有全面的網(wǎng)站漏洞庫及蜜罐集群檢測(cè)系統(tǒng)高質量發展，能夠第一時(shí)間協(xié)助網(wǎng)站檢測(cè)修復(fù)漏洞;360網(wǎng)站衛(wèi)士則為站長(zhǎng)免費(fèi)提供網(wǎng)站防火墻全方位、DDOS保護(hù)高效節能、 CC保護(hù) 、智能DNS解析大局、盜鏈保護(hù)新創新即將到來、頁面壓縮、緩存加速和永久在線等服務(wù)有序推進。